Google випустила термінове оновлення безпеки Chrome, закривши чотири недоліки, один із яких — CVE‑2025‑10585 — уже використовується в реальних атаках. Вразливість у JavaScript‑рушії V8 класифіковано як type confusion і вона може призводити до віддаленого виконання коду всередині процесу рендерера з потенційною ескалацією за наявності додаткових помилок.
Що таке CVE‑2025‑10585 і чому «type confusion» небезпечний
Помилки класу type confusion виникають, коли рушій некоректно трактує тип об’єкта та звертається до пам’яті з неправильними припущеннями. У браузері це часто відкриває шлях до пошкодження пам’яті та інжекції виконуваних даних. Зафіксовані Google Threat Analysis Group (TAG) ознаки використання експлойту «в дикій природі» підтверджують практичну здійсненність атаки, а не лише теоретичний ризик.
Типова схема зловмисників виглядає так: спершу — RCE у рендерері через баг у V8, далі — пошук другого ланцюжка (логічні помилки IPC, вади драйверів чи ОС), щоб вирватися із «пісочниці». Подібні ланцюжки вже не раз фіксувалися в минулому — зокрема, у випадках CVE‑2022‑1096 (V8) та масового інциденту з libwebp у 2023 році.
Оновлені версії Chrome і як встановити патч
Виправлення доступне у релізах Chrome 140.0.7339.185/.186 для Windows і macOS та 140.0.7339.185 для Linux. Розгортання відбувається поетапно, але чекати не варто: відкрийте «Довідка» → «Про браузер Google Chrome», встановіть оновлення та перезапустіть браузер — без рестарту патч не набуде чинності.
У корпоративному середовищі доцільно форсувати оновлення через MDM/WSUS та інші засоби керування, відстежувати відповідність цільовим білдам і скорочувати «вікно вразливості» на критичних робочих місцях. Додатково рекомендовано інвентаризувати розширення, увімкнути Enhanced Safe Browsing та переглянути політики, що впливають на поверхню атаки.
Контекст атак нульового дня і роль Google TAG
За даними релізних нотаток, CVE‑2025‑10585 — шоста 0‑day у Chrome цього року. Команда Google TAG системно виявляє кампанії, що приписуються державним та афілійованим групам, які застосовують свіжі уразливості браузерів для таргетованого шпигунства. Типові жертви — журналісти, громадські активісти, учасники ланцюгів постачання ІТ та працівники стратегічних галузей.
Історично вади у V8 часто стають першим кроком у ланцюгу експлуатації. Дослідження Google Project Zero фіксує стійкий тренд на зловживання 0‑day: лише у 2023 році задокументовано 61 випадок атак з використанням невідомих раніше вразливостей. На тлі цієї динаміки своєчасні оновлення браузера залишаються одним з найефективніших і найдешевших заходів зниження ризику компрометації кінцевих пристроїв.
Практичні кроки для зниження ризиків
Рекомендації для користувачів
– Негайно оновіть Chrome до 140.0.7339.185/.186 і перезапустіть браузер.
– Перевірте, що автооновлення увімкнено та версія відповідає виправленому білду.
– Активуйте Enhanced Safe Browsing, уникайте підозрілих посилань і вкладень, не встановлюйте невідомі розширення.
Рекомендації для ІБ- та ІТ-команд
– Оперативно розгорніть патч через централізовані інструменти (MDM/WSUS), зафіксуйте SLA впровадження та контролюйте комплаєнс версій.
– Моніторте канали Chrome Releases і повідомлення Google TAG для оновлень індикаторів компрометації та деталей експлуатації.
– Перегляньте політики браузера: мінімізуйте дозволи, обмежте установку розширень, забороніть невідомі джерела виконуваного контенту.
– Проведіть позапланове інформування співробітників щодо обережності під час роботи з новими або ненадійними сайтами.
Оскільки експлуатацію CVE‑2025‑10585 уже підтверджено, відкладати оновлення недоцільно. Швидкий перехід на актуальний Chrome, регулярне застосування патчів, базова кібергігієна та належні корпоративні політики значно знижують імовірність успішної атаки. Перевірте версію браузера просто зараз і переконайтеся, що ваші пристрої захищені від актуальних загроз нульового дня.
